본문 바로가기 주메뉴 바로가기 검색 바로가기
파이어폭스·안드로이드, 지금 당장 업데이트하라
상태바
파이어폭스·안드로이드, 지금 당장 업데이트하라
2023년 1월, iOS와 크롬, 윈도 등이 보안 패치 작업을 대거 진행했다.
By KATE O'FLAHERTY, WIRED UK

애플, 구글, 마이크로소프트 등 주요 기업이 보안 업데이트 사항을 배포하면서 2023년을 시작했다. SAP와 VM웨어(VMWare), 오라클(Oracle) 등도 2023년 1월 내내 보고된 보안 문제를 수정하면서 바쁜 한 달을 보냈다.

2023년 첫 보안 수정 사항 중 사용자가 알아야 할 모든 정보를 아래와 같이 전달한다.

애플 iOS 
애플은 보안 키를 애플 아이디의 추가 보호 레이어로 사용하도록 하는 새로운 기능과 함께 iOS 16.3을 배포했다. 애플의 최신 업데이트 사항에는 웹킷 보안 결함 3가지와 사파리 브라우저 실행을 지원하는 엔진, 코드 실행 문제를 일으킬 수 있는 보안 결함 2가지를 포함한 보안 수정 사항 13가지가 포함됐다.

애플은 iOS 중심에 있는 아이폰 커널(iPhone Kernel)의 세 가지 결함도 수정했다. 그중 CVE-2023-23504로 분류된 취약점은 해커 세력이 악용한다면, 커널 권한을 손에 넣고 앱에서 코드를 실행할 수도 있는 심각한 보안 결함으로 알려졌다. 

애플은 구형 아이폰 사용자를 위해 iOS 15.7.3도 배포하면서 iOS 16.3에서 패치 작업을 진행한 커널 코드 실행 버그를 포함한 6가지 보안 결함을 수정했다. 애플이 iOS 15.7.3이나 iOS 16.3에서 수정한 보안 문제 중 실제 사이버 공격에 악용된 사례는 없는 것으로 추정된다. 다만, 애플은 구형 아이폰 사용자를 위해 iOS 12.5.7도 배포하며, 이미 웹킷(WebKit) 취약점인 CVE-2022-42856에 악용된 취약점을 다룬 패치 작업을 진행했다. 해당 취약점은 애플이 2022년 12월, iOS 15로 다룬 스마트폰 버그이다.

애플의 2023년 1월 업데이트 사항에는 tvOS 16.3과 사파리 16.3, 맥OS 빅서 11.7.3, 맥OS 몬터레이 12.6.3, 워치OS 9.3, 맥OS 벤투라 13.2도 있다.

구글 크롬
구글은 보안 결함 수정에 분주하게 나서면서 2023년 첫 달을 맞이했다. 구글은 2023년 1월, 크롬 브라우저의 취약점 17가지를 수정했다. 그중 두 개는 영향 수준이 높은 것으로 분류됐다. 보안 영향 수준이 높은 두 가지 취약점 중 하나인 CVE-2023-0128는 오버뷰 모드(Overview Mode)의 프로그램 실행 중 부적절한 동적 메모리 사용과 관련된 취약점인 UAF(use-after-free) 버그이다.

또 다른 취약점인 CVE-2023-0129은 네트워크 서비스(Network Service)에서 발견된 힙 버퍼 오버플로 문제이다. 패치 작업으로 다룬 취약점 8가지는 위험성 영향 수준이 중간으로 평가됐다. 그중에는 풀스크린(Fullscreen)의 부적절한 시행 버그인 CVE-2023-0130와 플랫폼 앱(Platform Apps)의 힙 버퍼 오버플로 문제인 CVE-2023-0137도 있다.

그리고 2023년 1월 말, 구글은 취약점 영향 수준이 높은 두 가지 취약점을 포함한 크롬 문제 6가지를 다룬 패치를 배포했다. 보안 취약점 영향 수준이 높은 CVE-2023-0471은 웹트랜스포트(WebTransport)에서 발생한 UAF 버그이다. 또, CVE-2023-0472는 웹RTC(WebRTC)의 UAF 버그이다.

구글의 2023년 첫 크롬 패치 사항에는 이미 사이버 공격에 악용된 보안 취약점은 없다. 따라서 업데이트 자체가 중요하지만, 구글의 최신 버전 배포 사항만큼 패치 작업이 시급한 편은 아니다. 2022년, 구글은 제로데이 취약점 9종을 다룬 패치를 배포했다.

구글 안드로이드
구글은 안드로이드 보안 공고(Android Security Bulletin)에 안드로이드 기기의 여러 가지 패치 사항을 포함한 내용을 게재했다. 안드로이드의 보안 취약점 중 가장 심각한 결함은 프레임워크 구성요소의 보안 취약점이다. 해당 취약점은 자칫하면 별도의 추가 권한이 필요하지 않은 로컬 권한 상승으로 이어질 수 있다. CVE-2022-20456는 보안 심각성이 높은 취약점으로, 안드로이드 버전 14가지 중 10가지 버전에 영향을 미치는 것으로 확인됐다. 또 다른 로컬 권한 상승 버그인 CVE-2022-20490는 사용자 상호작용 악용이 필요하지 않다.

구글은 중요한 결함으로 분류된 원격 코드 실행 결함을 포함한 커널 취약점도 수정했다. 커널 취약점 중 CVE-2022-42719은 사이버 공격 세력이 커널 문제를 일으키고는 코드를 실행할 수 있는 UAF 버그이다. 또, 구글은 시스템에서 발견한 몇 가지 문제도 수정했다. 그중 가장 심각한 문제는 로컬 권한 상승으로 이어질 수 있는 취약점이다.

안드로이드 보안 패치는 전용 업데이트 사항을 지닌 구글 픽셀 기기와 갤럭시 노트10, 갤럭시 S21, 갤럭시 A73을 포함한 삼성 갤럭시 스마트폰 제품군에 적용할 수 있다. 업데이트 사항은 기기기 설정 앱에 접속하여 확인할 수 있다.
 
[사진=Unsplash]
[사진=Unsplash]

마이크로소프트 패치 화요일
마이크로소프트는 2023년 첫 번째 패치 화요일로 보안 문제를 무려 98가지 수정했다. 마이크로소프트의 1월 수정 사항 중에는 이미 사이버 공격에 악용된 취약점인 CVE-2023-21674가 포함됐다. CVE-2023-21674는 브라우저 샌드박스 탈출로 이어질 수 있는 윈도 어드밴스드 로컬 프로시저 호출(Windows Advanced Local Procedure Call)에 영향을 미치는 권한 상승 결함이다.

마이크로소프트는 CVE-2023-21674 악용 시 공격자가 시스템 권한을 손에 넣을 수 있다고 기술하며, 해당 결함을 실제 사이버 공격 보고 사례에서 감지한 사실을 확인시켜 주었다.

또 다른 권한 상승 취약점은 윈도 자격 증명 관리 사용자 인터페이스(Windows Credential Manager User Interface)에서 발견된 CVE-2023-21726로, 사이버 공격에 악용하는 것이 상대적으로 쉽다. 게다가 악용 시 사용자와 별도의 상호작용이 필요하지 않다.

마이크로소프트는 2023년 1월 패치 화요일에 윈도 커널 취약점 9가지도 수정했다. 커널 취약점 9가지 중 8가지는 권한 상승 문제이며, 나머지 하나는 정보 공개 취약점으로 확인됐다.

모질라 파이어폭스
소프트웨어 기업 모질라는 파이어폭스 브라우저의 중요한 보안 업데이트를 배포했다. 이번 업데이트 사항으로 다룬 문제는 미국 사이버 보안 및 인프라 안보국(CISA)의 경고 대상이 된 가장 심각한 보안 문제이다.

파이어폭스 109의 11가지 결함 수정 사항 중 4개는 영향 수준이 높은 취약점으로 분류됐다. 그중 하나인 CVE-2023-23597은 공격자가 임의 파일을 읽는 데 악용할 수 있는 프로세스 할당에서 발견된 논리 버그이다. 이 외에도 모질라는 자사 보안팀이 파이어폭스 108의 메모리 안전 버그도 발견했다고 발표했다. 모질라 측은 “일부 버그는 메모리 손상 증거가 입증됐다. 이에, 모질라는 사이버 공격 세력이 어느 정도의 노력과 함께 일부 버그를 임의 코드 실행에 악용한 것으로 추측한다”라고 설명했다.

CISA는 자체 경보를 통해 사이버 공격 세력이 파이어폭스의 메모리 안전 취약점 중 일부를 악용하여 보안 침입이 발생한 시스템을 장악할 수 있다고 경고했다. CISA는 “사용자와 관리자에게 모질라의 파이어폭스 ESR 102.7(Firefox ESR 102.7)과 파이어폭스 109 보안 조언을 검토해 더 많은 정보를 확인하고는 필요한 업데이트를 적용할 것을 독려한다”라고 안내했다.

VM웨어
엔터프라이스 소프트웨어 개발사 VM웨어는 VM웨어 vRealize 로그 인사이트(VMware vRealize Log Insight)에 영향을 미친 네 가지 결함을 상세히 설명한 보안 경보를 발행했다. VM웨어의 네 가지 결함 중 첫 번째 결함인 CVE-2022-31706는 보안 심각성 점수 10점 만점 기준 9.8점으로 평가된 디렉토리 접근 취약점(directory traversal vulnerability)이다. CVE-2022-31706를 악용하면, 인증되지 않은 악의적인 접근 세력이 보안 피해가 발생한 운영체제에 파일을 주입해, 원격 코드 실행을 개시할 수 있다.

취약한 접근 제어 원격 코드 실행 취약점인 CVE-2022-31704도 보안 심각성 점수 9.8점을 받았다. CVE-2022-31704로 영향을 받았다면, 즉시 패치 작업을 진행해야 한다는 사실은 두말할 것도 없다.

오라클
소프트웨어 업계 대기업인 오라클은 2023년 1월, 무려 327가지 보안 취약점을 다룬 패치를 배포했다. 그중 70가지는 심각한 영향을 미칠 수 있는 취약점으로 분류됐다. 또, 우려스려운 점은 2023년 1월 패치 적용 대상에 해당되는 취약점 200가지는 인증되지 않은 공격자가 원격으로 악용할 수 있다는 사실이다.

오라클은 사용자에게 즉시 시스템 업데이트를 마칠 것을 권고한다. 또한, 오라클이 이미 배포한 보안 패치로 다룬 취약점과 관련된 악용 시도 사례가 보고된 점을 경고했다.

간혹 공격자가 취약점 악용에 성공한 사례도 보고됐다. 오라클은 취약점 악용에 성공 원인으로 사용자가 현재 적용할 수 있는 보안 업데이트를 적용하지 못했기 때문이라고 언급했다.

SAP
SAP의 1월 패치 데이는 12가지 신규 보안 및 업데이트된 보안 노트를 배포했다. 보안 심각성 점수 9점으로 평가된 CVE-2023-0014는 보안 기업 오냅시스(Onapsis)가 평가한 가장 심각한 버그이다. 오냅시스는 CVE-2023-0014가 SAP 고객 다수에게 영향을 미친 결함으로, 위험성 완화가 어렵다고 전했다.

캡처 리플레이(capture-replay) 취약점인 CVE-2023-0014는 악의적인 사용자가 SAP 시스템 접근 권한을 얻도록 할 수 있어, 위험하다. 오냅스시는 “커널 패치인 ABAP 패치를 포함한 취약점 패치 작업을 마치고, 신뢰할 수 있는 모든 RFC와 HTTP의 위험성을 수동으로 완화해야 한다”라고 설명했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
You Really Need to Update Firefox and Android Right Now
이 기사를 공유합니다
RECOMMENDED